Пожалуй, самые заядлые игроки в «кошки-мышки» в виртуальном мире — это дидосеры и пользователи защиты от DDoS. Чтобы поддерживать важные службы в рабочем состоянии, компании и сервис-провайдеры увеличивают инвестиции в кибероборону, вынуждая хакеров повышать планку для своих атак, которые становятся все более и более мощными.

Согласно статистике Arbor Networks, в первом квартале количество DDoS-атак, усиленных с помощью открытых DNS- или NTP-серверов, превысило суммарный показатель 2013 года. Число DDoS мощностью более 20 Гб/с в сравнении с прошлым годом возросло в полтора раза. В январе — марте Arbor зафиксировала 72 инцидента свыше 100 Гб, причем один из них на пике показал 325 Гб.

Из техник усиления DDoS наибольшее распространение в минувшем квартале получили атаки с NTP-плечом. NTP-усиление, по данным Arbor, применялось в 85% атак уровня >100 Гб. Самая мощная из них была зафиксирована в феврале, когда CDN-провайдер CloudFlare сообщил об атаке на своего клиента. По мощности этот инцидент побил рекорд прошлого года, установленный в ходе 300 Гб атаки с DNS-плечом на Spamhaus.

По свидетельству экспертов, техника DDoS с NTP-плечом несколько проще, чем с использованием DNS-посредников, так как требует меньше исходных ресурсов и дает большее усиление. «Решающим фактором является коэффициент усиления, — поясняет Гари Сокрайдер (Gary Sockrider), архитектор защитных решений Arbor. — Атаки с NTP-отражением обеспечивают усиление в 1000 раз; отраженный ответ может по размеру превосходить запрос в 1000 раз».

Мощность атак теоретически может достичь терабайтов в секунду, говорит эксперт, однако операторы сетей и сервис-провайдеры быстро избавляются от уязвимых NTP-сервисов — намного быстрее, чем, к примеру, от открытых DNS-резолверов. «Инфраструктура осталась, открытые абьюзам серверы тоже, — констатирует Сокрайдер. — Пришлось туго, хотя бывает и хуже. Все участники интернет-сообщества хорошо поработали, вешая замки на NTP, получилось даже шустрее, чем с DNS».

Когда мощная DDoS-атака направлена на конкретную бизнес-структуру, будь то хактивизм или оплаченный заказ, ее последствия ощущаются и за рамками корпоративной сети. «Мощные атаки сокрушают не только сервер, но всю инфраструктуру, — подчеркивает Сокрайдер. — Для сервис-провайдеров (поставщиков интернет-услуг, владельцев дата-центров, облачных служб, хостеров) мощные DDoS не новость, они активно модифицируют инфраструктуру и защиту, чтобы успешнее противостоять этой угрозе».

Из новых веяний эксперт особо отметил симбиоз DDoS и целевых атак (APT). «Мы наблюдаем рост тенденции к комбинированию DDoS и APT-кампаний, — говорит он. — Еще пару лет назад DDoS скорее считались инструментом для вывода ресурсов из строя, а не для эксфильтрации данных. Сейчас они нередко используются совместно с APT в продолжительных кампаниях, в ходе которых атакующие проникают в вашу сеть. Когда настает момент для вывода данных, они инициируют DDoS-атаку. Для вас это стихийное бедствие, и, пока вы с ним разбираетесь, злоумышленники выкачивают информацию».

Категории: DoS-атаки, Аналитика, Главное